Controles del servicio de VPC es una función de Google Cloud que te permite configurar un perímetro de servicio para protegerte contra el robo de datos.
Los Controles del servicio de VPC en Developer Connect no protegen contra la posible filtración a sistemas externos de administración de código fuente. En esta guía, se muestran más controles que usan políticas de la organización personalizadas para ayudar a bloquear estas situaciones. SCMS
Consulta Configura un perímetro de servicio con los Controles del servicio de VPC para obtener más información sobre cómo usar los Controles del servicio de VPC.
Crea una política de la organización personalizada que restrinja los elementos a los que tus desarrolladores pueden crear conexiones.
Crea una política de la organización personalizada que permita a tus desarrolladores crear y actualizar conexiones solo a través de un recurso específico del Directorio de servicios.
Antes de comenzar
Para usar los ejemplos de la línea de comandos de esta guía, instala y configura Google Cloud CLI.
Roles obligatorios
Para obtener los permisos que
necesitas para crear o editar una política de la organización personalizada,
pídele a tu administrador que te otorgue el rol de IAM
Administrador de políticas de la organización (roles/orgpolicy.policyAdmin)
en el recurso de organización.
Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.
También puedes obtener los permisos necesarios a través de roles personalizados o cualquier otro rol predefinido.
Crea una restricción para limitar los SCMS a los que tu equipo puede crear conexiones
Una forma de mitigar la posibilidad de robo de datos a un SCMS es limitar los SCMS que se permiten para las conexiones. Puedes crear una política de la organización personalizada que permita conexiones a uno o más SCMS especificados.
La siguiente política de la organización limita las conexiones de repositorios para permitir solo las conexiones a GitHub Enterprise:
name: organizations/ORGANIZATION_ID/customConstraints/CONSTRAINT_NAME
resourceTypes:
- developerconnect.googleapis.com/Connection
methodTypes:
- CREATE
- UPDATE
condition: |
resource.githubEnterpriseConfig.hostUri=="https://github.mycompany.net"
actionType: ALLOW
displayName: Connection GitHub Enterprise Host Constraint
description: |
Allows creation/update of Developer Connect connections only to GitHub Enterprise host github.mycompany.net
Crea una restricción para exigir conexiones a través del Directorio de servicios
Para mitigar la posibilidad de robo de datos, crea una política de la organización personalizada que permita conexiones solo a un extremo de Directorio de servicios especificado.
La siguiente política de la organización permite conexiones solo a un extremo específico del Directorio de servicios:
name: organizations/ORGANIZATION_ID/customConstraints/CONSTRAINT_NAME
resourceTypes:
- developerconnect.googleapis.com/Connection
methodTypes:
- CREATE
- UPDATE
condition: |
resource.gitlabEnterpriseConfig.serviceDirectoryConfig.service=="projects/my-project/locations/us-central1/namespaces/ns/services/myendpoint"
actionType: ALLOW
displayName: Connection GitLab Enterprise Service Directory endpoint
description: |
Allows creation/update of Developer Connect connections only through a specific Service Directory resource
¿Qué sigue?
Obtén más información para crear políticas de la organización personalizadas.
Obtén más información sobre los Controles del servicio de VPC.
Obtén más información sobre el Directorio de servicios.